绑定飞书_应用身份服务 (IDaaS)(IDaaS)-阿里云帮助中心

本文介绍绑定飞书的操作步骤和常见用法。

流程概述

绑定飞书到IDaaS只需要四步：

应用权限配置：在飞书开放平台为您的应用配置必要的权限，确保能够访问所需的数据和功能。
开发配置：在IDaaS控制台进行开发相关配置，包括设置回调地址和应用凭证等信息。
选择场景：根据您的业务需求，选择适合的集成场景和认证方式。
字段映射：配置飞书用户属性与IDaaS用户属性的映射关系，确保用户数据能够正确同步。

实现场景

绑定飞书后，您可以使用下述能力。

分类	实现能力
账户	将飞书通讯录数据全量同步到IDaaS EIAM（包含定时校验）。
登录	使用飞书扫码登录IDaaS EIAM或其中的应用。在飞书工作台免登到IDaaS EIAM或其中的应用。

绑定飞书

在身份提供方菜单中，单击其他身份提供方 > 飞书，即可开始绑定流程。

第一步：应用权限配置

重要

飞书对应用权限有较为细致的要求，部分权限需要管理员审批并发布应用后才可生效，您可能需要企业其他管理员协助。缺少权限将无法使用数据同步等能力，建议完成本步骤权限配置后，再进行后续绑定操作。

创建飞书应用。
1. 前往飞书开放平台，登录开发者后台，在开发者后台中创建企业自建应用。
2. 完成创建后，将自动进入飞书应用详情页。单击凭证与基础信息菜单，获取App ID和App Secret，并填写到IDaaS中。
将获取的App ID和App Secret填写到IDaaS中。

在飞书应用详情页，单击权限管理 > 开通权限。在通讯录中，分别进行如下授权。这些均属于通讯录的查询权限，以实现数据同步和用户登录。

权限名称	权限值	特殊说明
获取通讯录基本信息	contact:contact.base:readonly	--
获取用户user ID	contact:user.employee_id:readonly	--
获取部门基础信息	contact:department.base:readonly	--
获取通讯录部门组织架构信息	contact:department.organize:readonly	申请权限后需提交版本发布申请并通过审核才可生效。
获取用户基本信息	contact:user.base:readonly	--
获取用户组织架构信息	contact:user.department:readonly	申请权限后需提交版本发布申请并通过审核才可生效。
获取用户邮箱信息	contact:user.email:readonly	该权限非强制要求，只有您希望同步该字段数据到IDaaS时才需开通。
获取用户手机号	contact:user.phone:readonly	申请权限后需提交版本发布申请并通过审核才可生效。该权限非强制要求，只有您希望同步该字段数据到IDaaS时才需开通。

说明

提交发布申请后，将在飞书中通知管理员，管理员需要在飞书管理后台中进行审核。

开通飞书数据权限。
1. 在权限管理中，单击可访问的数据范围进行数据权限配置。
2. 根据实际需求选择权限。这个范围决定哪些用户、组织数据可以同步到IDaaS并使用飞书登录。
在IDaaS中提交。完成上述权限配置后，在IDaaS中单击下一步，IDaaS将检查对应的API权限和数据权限。具备所有必需的权限后，即可进入到下一步。

第二步：开发配置

填写基础信息。
1. 填写显示名称。
2. 填写企业编号。企业编号需要在飞书管理后台中获取。
配置开发信息。
1. 重定向 URL。
  1. IDaaS侧查看。该地址用于处理用户登录请求。
  2. 飞书配置。在飞书应用详情的安全设置 > 重定向 URL中填入URL。填写完成后，单击添加按钮。
2. 应用主页。
  1. IDaaS侧查看。如果您希望用户在飞书工作台中可以免登到IDaaS用户门户，则需要配置该主页。
  2. 飞书配置。请在飞书应用详情的添加应用能力中，添加网页应用。
    完成添加后，在桌面端主页和移动端主页中填入该URL。
3. IP 白名单。
  1. IDaaS侧查看。
    - 共享端点：共享端点是EIAM实例进行网络访问时默认使用的网络端点，所有EIAM实例共用。仅支持访问公网。
    - 专属端点：专属端点是您的EIAM实例独享的网络端点。通过专属端点，您可以使用专属的IP实现飞书的数据同步和委托认证，专属端点介绍请参考：网络端点。
  2. 飞书配置。若您希望网络有请求IP限制，请复制IDaaS的出口IP列表，加入飞书应用安全设置 > IP 白名单中，通过批量修改填写。

第三步：选择场景

选择希望使用的场景能力。

能力说明

同步目标：在下拉框选择阿里云IDaaS，飞书的通讯录数据将会导入到IDaaS的这个节点之下。
定时校验：IDaaS默认每天凌晨自动全量同步飞书数据，确保两端数据一致。通过字段映射可指定IDaaS账户与飞书用户的匹配规则（如账户名对应userid），匹配成功则更新绑定，否则新建账户。若需实时同步，可手动触发全量任务。系统内置保护机制，当检测到删除超过30个账户或10个组织时自动终止同步，避免误删，建议根据企业规模调整阈值。
定时校验周期：同步周期设置为每日一次，支持通过Cron表达式自定义时间。IDaaS在同步过程中内置保护机制，当检测到大量账户或组织删除操作（如超过30个账户或10个组织）时，自动终止任务以避免误删。
增量同步：该功能默认关闭，需在完成绑定后手动开启。若未配置事件通知，则无法启用增量同步。用户需在添加流程或修改流程中调整相关设置以激活此功能。
- 在身份提供方页面定位到创建的飞书应用，单击修改。
- 在事件配置处填写Encrypt Key和Verification Token。获取方式在飞书应用详情的事件与回调 > 加密策略。
- 将请求地址输入飞书应用详情的事件与回调 > 事件配置，在事件发送至开发者服务器的请求地址中填入该 URL。
扫码登录：开启后，IDaaS登录页面将提供飞书扫码登录选项，用户可直接扫码完成认证。若配置了应用主页，还支持从飞书工作台免登访问IDaaS，提升使用便捷性。

第四步：字段映射

如果您在IDaaS中已存在存量数据，需要飞书成员/部门和IDaaS账户/组织绑定，或者希望使用飞书中成员的某些字段数据作为IDaaS账户的数据，例如将飞书用户的姓名作为IDaaS账户的显示名，则需要在此步骤配置字段映射。

重要

飞书中的用户ID（即userid）作为飞书用户的唯一标识，可以被修改。由于此字段是IDaaS能唯一依赖的主键，如果该字段被修改，将导致对应的IDaaS账户被删除并重新创建，请谨慎修改。

管理飞书身份提供方

完成绑定后，会自动跳转到身份提供方菜单中。您可在此处对与身份提供方联动的不同功能进行管理。